Vlákno názorů k článku CrowdStrike poukázal na nedostatek představivosti a problém lidského faktoru od Heron - Lze vůbec nesvěřit vlastní IT bezpečnost někomu třetímu? Ano...
-
Lze vůbec nesvěřit vlastní IT bezpečnost někomu třetímu?
Ano lze. Tahle věta je totiž tupý marketingový blábol.
K celé té CrowdStrike akci jsem se nevyjadřoval a jen jsem četl komentáře. Co mě dost nepříjemně překvapuje je, kolik lidí z IT prostě jen tupě přebírá "tohle strašně nutně potřebujeme". Ne, nepotřebujeme. Nikde, v žádné zprávičce jsem neviděl ani jednu statistiku, kolik reálných hrozeb (aplikovatelných na chráněný systém v jeho aktuální konfiguraci) tento sw skutečně ochránil. A už vůbec ne, co by se vlastně stalo (jestli vůbec něco) kdyby se nějaký červík skutečně na ten chráněný systém dostal.
-
L.Stříbrný podporovatel> A už vůbec ne, co by se vlastně stalo (jestli vůbec něco) kdyby se nějaký červík skutečně na ten chráněný systém dostal.
Třeba tohle: https://zdopravy.cz/ochromene-rsd-systemy-jsou-po-kyberutoku-uz-48-hodin-nedostupne-114293/
-
Tak archiv snad neslouzi k obnove ne? Nebo kcemu jsou mi v lepsim pripade tyden stara data? Kolik uz tu bylo informaci ze ransomware to vzal i se zalohou.
Jasne muzu zkusit z archivu kus postavit zpatky, ale stale bude chybet zbytek... (prekvapive ty aktualni)
Je celkem dost odvetvi kde nemit 1h dat je celekm problem.
Tohle co rikas je jen hazeni rameny...
-
A ty si jako myslis, ze kdyz ma nekdo totalne chorou a zcela nefunkcni infrastrukturu, ze to zachrani instalace nejakeho mallware, o kterem vlastne ani nikdo nevi, co to dela?
Mimochodem, prave sem mluvil s clovickem, kterej s tim ma pomerne obsahle osobni zkusenosti, a potvrdil mi, ze vetsi jebku vzivote nepotkal, ze to neustale rve na vecech zcela neskodnych zato aktualni hrozby to zna ... mozna za mesic. Jako vsechny podobny kramy. Navic se kvuli tomu dejou neustale ruzne "divne veci", ktere se na strojich bez toho ... nedejou.
Takze zjevne dobrej oddil ...
Ale stejne dobri jsou u MS ....
Specielne domaci useri s home verzi widli musi byt nadseni ...
-
Ale tohle je komplexní nástroj, společně s forticlientem a avectem je to takový kombo, který minimalizuje cokoliv co by mohl uživatel napáchat. Jednak to uživatele omezuje (ve všem, přístupu k SW, HW, včetně filtrování webového obsahu) a druhak to loguje co který uživatel dělá a reportuje jakékoliv porušení pravidel.
Když se proflákne že to (skrytě) reportuje i zapomenutý keygen.exe na flešce (ze který si nebohý pracovník chtěl pustit mp3 při práci do sluchátek) šéfovi, tak si každý rozmyslí aby náhodou i na normálním webu nezahlíd ani nic co vzdáleně připomíná holý zadek. Od jisté doby už firemní notebooky nejsou benefit ale nástroj jak donutit zaměstnance aby na něm jenom makali. -
mně připadá, že se ty společnosti občas naprosto zbláznili. Ty nástroje dělají stanice dost nepoužitelné a přitom to množství útoků a kompromitací nesnižuje.
Dnes se člověk dostává opakovaně do absurdních situací, zaměstnanec dostane roční přehledy, ale pokud si je někam pošle nebo nahraje, je mu zablokovaný účet, protože sdílel osobní data zaměstnanců.
Úřady po mě i dnes běžně chtějí data na usb disku nebo cd, ale firemní moderní počítače mi nic takového nedovolí použít.
SSO se dnes používá už všude, není vyjímka, když u klienta musím svoje hlavní heslo zadávat i 50x denně, protože kdejaká volovina chce přihlašování a přitom to nazývají "SSO".
Monitorovací a auditovací nástroje reagují na každou nečekanou aktivitu a hned to dávají za vinu uživatelům, uživatel se stane obětí útoku (či prostě mu přišel email a ten něco provedl), hned mu je zablokovaný účet a stanice. Argument, že to je dost slušný DoS a že se takhle dá společnost ohrozit nikdo moc neuznává. Nemluvě o nekončím spamu reportů do emailu, který mi říkají co jsem jak a kde dělal špatně.
Vlastně korporátní svět si z IT bezpečnosti udělal pěkný bizár.
-
"že se ty společnosti občas naprosto zbláznili"
To ti nepripada, to je realita.
Sedi tam nejakej memezer ... a tomu jde vyhradne o to, aby to nebylo na nej. Takze najmout nejakyho dodavatele at uz cehokoli, je nejlepsi reseni = za to muzou oni.
Hromadit jakykoli logy specielne ze stanic a obzvlast z widli, natoz na ne jakkoli reagovat = setrvale bude kazda jedna locknuta a lidi nebudou moct delat vubec nic. Jen pro zajimavost ... jeden srv, pouziva ho tak 5 lidi ... denne je tam cca 100-150 failnutych pokusu o login ... od tech lidi. Proste neumej zadat svoje heslo. Kdyby jim to po 2-3 pokusech bloklo ucet, nedelam celej den nic jinyho nez povolovani uctu.
A to nemluvim o tom (vyzkouseno) ze na spoustu firem se da presne takhle velmi snadno zautocit. Loginy si stahnes z webu (email typicky funguje) a pak staci cas od casu pokus o login, a ucet bude trvale terminovanej.
-
Napsat navod na login k terminalu jak pro blbe (pozor. i format je na hrane security a je treba to schvalit) a pak uz jen reportovat jako zbytecne pretezovani helpdesku. Vykazat to tickety managementu. Kdy clovek xy resil tyto kraviny misto odstranovani nejakeho vetsiho vypadku ktery mel primy nebo sirsi dopad na firmu.
V jedne fabrice celkem dobre fungovalo testovani na to jestli clovek neni ozralej nebo pod vlivem drog. Po vice loginech k nemu naklusal dedikovany kontrolor.S pamatovanim jmena byva problem u transkripci cizincu a to celkem dokazu pochopit. Ja dodneska netusim jak se spravne pise jmeno manzelky. Jednou se to naucim :-P
Z dlouhodobeho hlediska bych zkusil projekt na passwordless login.
-
Jedna vec je co chce technik, inzenyr, arch a druha vec co ti rekne CISak a jak k tomu pristoupi management. Ten casto funguje stylem ze resi to produkt XY, koupime ho a problem vyresen. Co tam mame dal...
Jenomze securitak casto nema odpovednost za provoz. A nasazeni bezpecnostniho softu muze znamenat mnohem vetsi riziko nez jeho nenasazeni.
Jsou firmy ktere se treba rozhodly jit treti cestou. Pouziva kombinaci vice produktu na ruznych prostredich. Pripadne jsou systemy zcela oddelene.
